07.04.2009, 11:57 Uhr
Conficker bekommt Konkurrenz von Malware-Oldie
Zurzeit treibt ein bereits betagter Wurm namens "Neeris" sein Unwesen, berichten Microsoft-Security-Forscher. Der Malware-Oldie ahmt dabei die Infektionsgepflogenheiten des berüchtigten Conficker-Schädlings nach. Machen die Urheber der beiden Würmer möglicherweise gemeinsame Sache?
Der bereits im Mai 2005 entdeckte Wurm Neeris weist in seiner aktuellsten Variante auffallende Ähnlichkeiten mit seinem Malware-Kollegen Conficker auf. Er verwendet denselben, im Oktober 2008 geflickten Fehler im Window Server Service. Ausserdem verbreitet er sich ebenfalls über USB-Speichermedien, berichten Ziv Mador und Aaron Putnam vom Microsoft Malware Protection Center.
Spekulationen der beiden Security-Spezialisten zufolge könnten Conficker-Urheber und Neeris-Autoren unter einer Decke stecken. "Neeris tauchte erstmals im Mai 2005 auf - demnach könnten die Conficker-Autoren hier die Nachäffer sein", erläutern die Forscher. Den Exploit für die Windows-Schwachstelle MS08-067 als Angriffsvektor haben die Neeris-Entwickler hingegen offenbar bei den Conficker-Autoren abgekupfert. Die beiden Forscher halten es daher für möglich, dass die Übeltäter in irgendeiner Form kooperieren oder zumindest Kenntnis von ihren jeweiligen "Produkten" haben.
Die aktuelle Neeris-Version soll erst spät am 31. März und am 1. April 2009 vermehrt aufgetaucht sein - an jenem Tag also, an dem die jüngste Conficker-Variante aktiviert wurde. Der in diesem Zusammenhang befürchtete Grossangriff des mittels dem Schädling aufgebauten Bot-Netzes war jedoch ausgeblieben. Der Neeris-Wurm sei aber von keiner Conficker-Version nachgeladen worden. Auch gebe es keinerlei Hinweise, wonach der Wurm mit der Aktivierung des neuen Domain-Algorithmus von Conficker am 1. April in Zusammenhang stehe, erklären die Microsoft-Spezialisten.
In Anbetracht der Ähnlichkeiten mit Conficker gilt die Mehrheit der empfohlenen Schutzmassnahmen auch für die Abwehr von Neeris. Anwender, die den Flicken für den erwähnten Windows-Bug noch nicht eingespielt haben, sollten dies umgehend nachholen. Des Weiteren raten die beiden Experten, nur AutoPlay-Optionen zu verwenden, mit denen Anwender vertraut sind oder die Autorun-Funktion ganz zu deaktivieren.
Neeris ist zwar schon seit beinahe vier Jahren bekannt, doch bisher haben die Redmonder ihr monatlich aktualisiertes Malicious Software Removal Tool (MSRT) um keinen "Fingerprint" für den mittlerweile betagten Wurm ergänzt. Conficker erkennt das Anti-Malware-Werkzeug hingegen seit Mitte Januar.
